分布式鉴权的方法、系统、电子设备和计算机存储介质技术方案

本发明专利技术提供了一种分布式鉴权的方法、系统、电子设备和计算机存储介质，该方法中，控制台前端和网关之间通过同一域名通信连接，能够实现同一个域名访问到微服务化系统中的不同系统，并携带有登录态信息，即网关能够接收控制台前端发送的对微服务化系统中的目标系统进行访问的访问请求(携带有登录态信息)，由于该访问请求还携带有目标系统对应的上下文路径，网关可根据访问请求中携带的该上下文路径将访问请求转发至目标系统，目标系统再经由权限控制系统对访问请求进行鉴权，无需再开发冗余的转发逻辑，网关直接根据上下文路径进行转发，准确简单，由于只有一个域名，发送的对任何系统的访问请求中都携带有登录态信息，能进行后续的鉴权。后续的鉴权。后续的鉴权。

【技术实现步骤摘要】
分布式鉴权的方法、系统、电子设备和计算机存储介质


[0001]本专利技术涉及鉴权的
，尤其是涉及一种分布式鉴权的方法、系统、电子设备和计算机存储介质。

技术介绍

[0002]目前，流行的微服务化系统分布，存在单系统登录后，如果需要访问其它领域的接口无法进行鉴权的问题。如图1所示，用户已在权限管理系统进行了登录，如果想要访问系统A，由于系统A与权限管理系统的域名不同，即系统A与权限管理系统之间存在跨域问题，所以，无法将域名D下的登录态信息携带到域名A下，这样就无法进行后续的鉴权。
[0003]常规的解决方案如图2所示，通过登录权限控制系统，将接口进行转发给实际被调用的领域应用(系统A、系统B和系统C)，但是该方案存在非常明显的缺陷，那就是接口都需要转发，开发的每个需要访问的接口(即系统A、系统B和系统C)都需要在权限控制系统中开发一个冗余的转发逻辑，复杂且容易出错，对于文件传输类接口，性能损失也是不可忽略的重要问题。如，用户需要访问银行的账单系统时(若图2中的系统A为账单系统)，用户通过控制台前端向权限控制系统发起对账单系统的访问请求，权限控制系统需要经由其转发接口调用账单系统的接口；若用户需要访问银行的支付系统时(若图2中的系统B为支付系统)，用户通过控制台前端向权限控制系统发起对支付系统的访问请求，权限控制系统需要经由其另一个转发接口调用支付系统的接口，如此，权限控制系统需要开发冗余的转发逻辑，复杂且容易出错。
[0004]综上，如何简单且在不损失性能的情况下实现微服务化系统中，单系统登录、多系统鉴权的功能成为目前亟需解决的技术问题。

技术实现思路

[0005]有鉴于此，本专利技术的目的在于提供一种分布式鉴权的方法、系统、电子设备和计算机存储介质，以缓解现有技术无法简单且不损失系统性能的情况下实现微服务化系统中，单系统登录、多系统鉴权的功能的技术问题。
[0006]第一方面，本专利技术实施例提供了一种分布式鉴权的方法，应用于分布式鉴权系统，所述分布式鉴权系统包括：控制台前端、与所述控制台前端经由同一域名通信连接的网关、微服务化系统和权限控制系统，所述方法包括：
[0007]所述网关获取所述控制台前端发送的对所述微服务化系统中的目标系统进行访问的访问请求，并将所述访问请求转发至所述目标系统，其中，所述访问请求携带有所述域名的登录态信息和所述目标系统对应的上下文路径；
[0008]所述目标系统通过接口向所述权限控制系统发送鉴权请求，其中，所述鉴权请求携带有所述登录态信息和所述目标系统的信息；
[0009]所述权限控制系统判断所述登录态信息对应的当前登录人是否具有访问所述目标系统的权限，并将鉴权结果返回至所述目标系统；
[0010]所述目标系统根据所述鉴权结果对所述访问请求执行对应的操作。
[0011]进一步的，所述网关维护有上下文路径和所述微服务化系统中各系统的对应关系，将所述访问请求转发至所述目标系统，包括：
[0012]根据所述访问请求携带的上下文路径确定对应的目标系统；
[0013]将所述访问请求转发至所述目标系统。
[0014]进一步的，所述权限控制系统维护有登录人与各系统之间的权限关系，所述权限控制系统判断所述登录态信息对应的当前登录人是否具有访问所述目标系统的权限，包括：
[0015]根据所述权限关系所述权限控制系统判断所述当前登录人是否具有访问所述目标系统的权限。
[0016]进一步的，所述目标系统根据所述鉴权结果对所述访问请求执行对应的操作，包括：
[0017]若所述鉴权结果为所述当前登录人具有访问所述目标系统的权限，则执行所述访问请求，并将对应的访问结果通过所述网关返回至所述控制台前端；
[0018]若所述鉴权结果为所述当前登录人不具有访问所述目标系统的权限，则拒绝所述访问请求。
[0019]进一步的，所述方法还包括：
[0020]在所述目标系统缓存所述鉴权结果。
[0021]进一步的，所述控制台前端缓存有所述登录态信息。
[0022]进一步的，所述微服务化系统和所述权限控制系统均已接入登录系统。
[0023]第二方面，本专利技术实施例还提供了一种分布式鉴权的系统，所述分布式鉴权系统包括：控制台前端、与所述控制台前端经由同一域名通信连接的网关、微服务化系统和权限控制系统，其中，
[0024]所述网关，用于获取所述控制台前端发送的对所述微服务化系统中的目标系统进行访问的访问请求，并将所述访问请求转发至所述目标系统，其中，所述访问请求携带有所述域名的登录态信息和所述目标系统对应的上下文路径；
[0025]所述目标系统，用于通过接口向所述权限控制系统发送鉴权请求，其中，所述鉴权请求携带有所述登录态信息和所述目标系统的信息；
[0026]所述权限控制系统，用于判断所述登录态信息对应的当前登录人是否具有访问所述目标系统的权限，并将鉴权结果返回至所述目标系统；
[0027]所述目标系统，还用于根据所述鉴权结果对所述访问请求执行对应的操作。
[0028]第三方面，本专利技术实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面任一项所述的方法的步骤。
[0029]第四方面，本专利技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有机器可运行指令，所述机器可运行指令在被处理器调用和运行时，所述机器可运行指令促使所述处理器运行上述第一方面任一项所述的方法。
[0030]在本专利技术实施例中，提供了一种分布式鉴权的方法，应用于分布式鉴权系统，分布式鉴权系统包括：控制台前端、与控制台前端经由同一域名通信连接的网关、微服务化系统
和权限控制系统，该方法包括：网关获取控制台前端发送的对微服务化系统中的目标系统进行访问的访问请求，并将访问请求转发至目标系统，其中，访问请求携带有域名的登录态信息和目标系统对应的上下文路径；目标系统通过接口向权限控制系统发送鉴权请求，其中，鉴权请求携带有登录态信息和目标系统的信息；权限控制系统判断登录态信息对应的当前登录人是否具有访问目标系统的权限，并将鉴权结果返回至目标系统；目标系统根据鉴权结果对访问请求执行对应的操作。通过上述描述可知，本专利技术的分布式鉴权的方法中，控制台前端和网关之间通过同一域名通信连接，能够实现同一个域名访问到微服务化系统中的不同系统，并携带有登录态信息，即网关能够接收控制台前端发送的对微服务化系统中的目标系统进行访问的访问请求(携带有登录态信息)，由于该访问请求还携带有目标系统对应的上下文路径，这样，网关可根据访问请求中携带的该上下文路径将访问请求转发至目标系统，目标系统再经由权限控制系统对访问请求进行鉴权，无需再开发冗余的转发逻辑，网关直接根据上下文路径进行转发，准确简单，且由于只有一个域名，所以发送的对任何系统的访问请求中都携带有登录态信息，能进行后续的鉴权，也不会对系统的性能造本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式鉴权的方法，其特征在于，应用于分布式鉴权系统，所述分布式鉴权系统包括：控制台前端、与所述控制台前端经由同一域名通信连接的网关、微服务化系统和权限控制系统，所述方法包括：所述网关获取所述控制台前端发送的对所述微服务化系统中的目标系统进行访问的访问请求，并将所述访问请求转发至所述目标系统，其中，所述访问请求携带有所述域名的登录态信息和所述目标系统对应的上下文路径；所述目标系统通过接口向所述权限控制系统发送鉴权请求，其中，所述鉴权请求携带有所述登录态信息和所述目标系统的信息；所述权限控制系统判断所述登录态信息对应的当前登录人是否具有访问所述目标系统的权限，并将鉴权结果返回至所述目标系统；所述目标系统根据所述鉴权结果对所述访问请求执行对应的操作。2.根据权利要求1所述的方法，其特征在于，所述网关维护有上下文路径和所述微服务化系统中各系统的对应关系，将所述访问请求转发至所述目标系统，包括：根据所述访问请求携带的上下文路径确定对应的目标系统；将所述访问请求转发至所述目标系统。3.根据权利要求1所述的方法，其特征在于，所述权限控制系统维护有登录人与各系统之间的权限关系，所述权限控制系统判断所述登录态信息对应的当前登录人是否具有访问所述目标系统的权限，包括：根据所述权限关系所述权限控制系统判断所述当前登录人是否具有访问所述目标系统的权限。4.根据权利要求1所述的方法，其特征在于，所述目标系统根据所述鉴权结果对所述访问请求执行对应的操作，包括：若所述鉴权结果为所述当前登录人具有访问所述目标系统的权限，则执行所述访问请求，并将对应的访问结果通过所述网关返回至所述控制台前端；若所述鉴权...

【专利技术属性】
技术研发人员：刘晓东，
申请(专利权)人：平安银行股份有限公司，
类型：发明
国别省市：